PLEASE_READ_ME: Automatisierter Ransomware-Befall auf MySQL-Servern

Aktuelle Kampagne nimmt mindestens seit Januar 2020 Datenbankserver ins Visier

[datensicherheit.de, 17.12.2020] Guardicore hat eine aktuelle Ransomware-Kampagne aufgespürt, die MySQL-Datenbankserver ins Visier nimmt und mindestens seit Januar 2020 aktiv ist. Die Malwareless-Attacke PLEASE_READ_ME verwendet ein vergleichsweise simples Angriffsmuster, um schwache Zugangsdaten von MySQL-Servern mit direkter Internetverbindung auszunutzen. Insgesamt wurden sieben TB Daten aus mehr als 250.000 verschiedenen Datenbanken kompromittiert.

Die Ransomware-Kampagne PLEASE_READ_ME verwendet keinen binären Payload – es handelt sich also um eine neuartige Malwareless-Attacke ohne Lateral Movement. Das Forscherteam von Guardicore Labs spricht von automatisierter „Fabrik-Ransomware“, mit der sich ungezielte Massenangriffe durchführen lassen. Die Lösegeldforderungen pro Opfer sind zwar geringer, aber die Zahl infizierter Rechner umso höher. Die Erpresser haben mittlerweile 250.000 Datenbanken von 83.000 erfolgreich komprimittierten Unternehmen zum Kauf angeboten.

Im Rahmen der Kampagne ist Guardicore Labs auf zwei verschiedene Varianten gestoßen: Von Januar bis November 2020 hinterlegten die Angreifer eine Lösegeldforderung in Höhe von $25.000 mit ihrer Wallet-Adresse (und einer E-Mail-Adresse für technische Unterstützung). In einer zweiten Phase vom 3. Oktober bis zum 30. November 2020 verwiesen die Erpresser ihre Opfer nicht auf das Bitcoin-Wallet oder die E-Mail-Adresse, sondern forderten Unternehmen zu Geldüberweisungen direkt über eine Webseite im TOR-Netzwerk auf.

Kampf gegen Cyberkriminalität

„Die erste Attacke haben wir über unser Guardicore Global Sensors Network (GGSN) bereits am 24. Januar 2020 registriert. Seitdem sind insgesamt 92 Attacken von unseren Sensoren aufgezeichnet worden, deren Anzahl seit Oktober stark zunimmt“, schreibt Ophir Harpaz, Sicherheitsforscherin bei Guardicore, in ihrem Blogbeitrag. „Die Angriffe wurden von elf unterschiedlichen IP-Adressen ausgeführt, von denen die Mehrzahl aus Irland und Großbritannien stammen. Wir haben die Attacken zu dem Zeitpunkt genauer unter die Lupe genommen, als die Erpresser neben Lösegeldforderungen mit der Veröffentlichung gestohlener Daten begannen, um zusätzlichen Druck auf die betroffenen Unternehmen auszuüben.“

Weitere Informationen zum Thema:

datensicherheit.de, 25.09.2019
Guardicore Labs: Smominru-Botnetz ist zurück

Guardicore Labs
PLEASE_READ_ME: The Opportunistic Ransomware Devastating MySQL Servers